Стандартные и расширенные нумерованные списки доступа

Поддерживаются следующие виды списков доступа для IP:

• Стандартные списки доступа (проверяют адрес отправителя пакета)
• Расширенные списки доступа (проверяют адрес отправителя, адрес получателя и другие параметры пакета)
• Динамические расширенные списки доступа

Каждый вид ACL необходимо размещать там, где он будет наиболее эффективно отрабатывать:

Стандартный ACL размещают как можно ближе к адресату

Расширенный ACL размещают как можно ближе к источнику блокируемого трафика

Создание стандартного списка доступа

Критерии записываются последовательно в следующем формате:

access-list access-list-number {deny | permit} source [source-wildcard]

Пример:

access-list 1 deny 192.168.1.0 0.0.0.255

access-list 1 permit 192.168.0.0 0.0.255.255

Разрешается прохождение пакетов с адресов в блоке 192.168.0.0/16 за исключением адресов 192.168.1.0/24

Запись критериев в другом порядке приведет к тому, что второе условие не будет работать никогда.

В отличие от метода записи маски на сетевых интерфейсах маска в списках доступа записана инверсно, единицами отмечены биты, которые НЕ будут проверяться. Такая маска называется wildcard маска.

Часто используемое описание фильтра, которому удовлетворяет любой адрес 0.0.0.0 255.255.255.255 имеет специальное обозначение "any".

access-list access-list-number {deny | permit} any